linux系统自动化安装和selinux

系统自动化安装：
 Anaconda 安装系统分成三个阶段：
  安装前配置阶段
安装过程使用的语言
键盘类型
安装目标存储设备
Basic Storage ：本地磁盘
特殊设备：iSCSI
设定主机名
配置网络接口
时区
管理员密码x
设定分区方式及MBR 的安装位置
创建一个普通用户
选定要安装的程序包

创建引导光盘：
#cp /media/cdrom/isolinux/ /tmp/myiso/
#vi /tmp/myiso/isolinux/isolinux.cfg
initrd=initrd.img text ks=cdrom:/myks.cfg
#cp /root/myks.cfg /tmp/myiso/
#cd /tmp
# mkisofs -R -J -T -v –no-emul-boot –boot-load-size 4 –boot-info-table -V “CentOS 6.8 x86_64 boot” -b isolinux/isolinux.bin -c isolinux/boot.cat -o /root/boot.iso myiso/              

  #直接使用此光碟引导自动安装

    装完后建议转换混合模式：安装包syslinux      执行命令：isohybrid   boot.iso

需要准备好应答文件，制作方法基本差不多，可以使用现成的，也可以自己制作创建U 盘启动盘
#dd if=/dev/sr0 of=/dev/sdb

selinux介绍：
Linux 的一个强制访问控制的安全模块。2000年以GNU GPL 发布，
Linux内核2.6版本后集成在内核中

DAC ：Discretionary Access Control 自由访问控制
MAC ：Mandatory Access Control  强制访问控制
• DAC 环境下进程是无束缚的
• MAC 环境下策略的规则决定控制的严格程度
• MAC 环境下进程可以被限制的
• 策略被用来定义被限制的进程能够使用那些资源（文件和端口）
• 默认情况下，没有被明确允许的行为将被拒绝

SELinux 有四种工作类型：
 strict: centos5, 每个进程都受到selinux 的控制
 targeted:  用来保护常见的网络服务, 仅有限进程受到selinux 
    控制，只监控容易被入侵的进程，centos4 只保护13个服务，centos5 保护88 个服务
 minimum ：centos7, 修改的targeted ，只对选择的网络服务
 mls: 提供MLS （多级安全）机制的安全性
 targeted 为默认类型，minimum 和mls 稳定性不足，未加以应用，strict

传统Linux，一切皆文件，由用户，组，权限控制访问在SELinux中，一切皆对象（ object）
           由存放在inode的扩展属性域的安全元素所控制其访问
           所有文件和端口资源和进程都具备安全标签： 
            安全上下文（security context）
 安全上下文有五个元素组成：
 user:role:type:sensitivity:category
 user_u:object_r:tmp_t:s0:c0
 实际上下文：存放在文件系统中，ls –Z;ps –Z
 期望( 默认)上下文存放在二进制的SELinux 策略库（映射目录和期望安全上下文）中
   semanage fcontext –l

selinu文件标签，cp 继承目标目录context
                mv 保留原有context（标签）

 Semanage ：来自policycoreutils-python包 包
  查看默认的安全上下文
semanage fcontext –l
  添加安全上下文
semanage fcontext -a –t httpd_sys_content_t
‘/testdir(/.)?’
restorecon –Rv /testdir
  删除安全上下文
semanage fcontext -d –t httpd_sys_content_t
‘/testdir(/.)?’

查看端口标签
semanage port –l
  添加端口
semanage port -a -t  port_label -p  tcp|udp PORT
semanage port -a -t http_port_t -p tcp 9527
  删除端口
semanage port -d -t  port_label -p  tcp|udp PORT
semanage port -d -t http_port_t -p tcp 9527
  修改现有端口为新标签
semanage port -m -t  port_label -p  tcp|udp PORT
semanage port -m -t http_port_t -p tcp 9527

selinux布尔值：
布尔型规则：
getsebool
setsebool
  查看bool 命令：
getsebool [-a] [boolean]
semanage boolean –l
semanage boolean -l –C  查看修改过的布尔值
  设置bool 值命令：
setsebool [-P] boolean value （on,off） ）
setsebool [-P] Boolean=value （0 ，1）